Pourquoi les unités d'administration ne fonctionnent-elles pas pour l'administration Teams ? Existe-t-il une alternative pour donner aux administrateurs spécifiques à un pays l'accès *uniquement* à certaines équipes via le site d'administration Te...

Pourquoi les unités d’administration ne fonctionnent-elles pas pour l’administration Teams ? Existe-t-il une alternative pour donner aux administrateurs spécifiques à un pays l’accès uniquement à certaines équipes via le site d’administration Teams sans devoir les ajouter comme propriétaire de l’équipe ?

Les unités d’administration n’existaient pas lorsque Teams a été initialement construit, c’est donc un processus lent de rétro-adaptation. Ils n’ont que récemment rendu le filtrage des utilisateurs par unités d’administration possible. Probablement que Teams finira par le supporter aussi, bien que cela nécessite des modifications d’infrastructure plus importantes.

Il existe des solutions tierces comme Coreview qui peuvent segmenter l’administration.

Je ne suis pas tout à fait sûr de ce qu’un administrateur devrait faire dans la liste des équipes de toute façon ; les permissions devraient être gérées via le groupe.

Bonjour,

C’est une excellente question qui touche à l’une des limitations les plus frustrantes de Microsoft Teams dans les environnements d’entreprise multinationaux ou multi-entités. Les Unités d’Administration (Administrative Units) dans Microsoft Entra ID (anciennement Azure Active Directory) permettent de déléguer la gestion des utilisateurs et des groupes à des administrateurs spécifiques — mais leur intégration avec le Centre d’administration Teams est effectivement très limitée. Voici une analyse complète de la situation et toutes les alternatives disponibles.

Comprendre pourquoi les Unités d’Administration ne fonctionnent pas dans Teams

Comportement actuel (et ses limites)

Les Unités d’Administration (AU) ont été conçues principalement pour déléguer la gestion des utilisateurs et groupes dans Entra ID. Leur portée dans Teams est structurellement limitée :

Fonctionnalité	Fonctionne avec les AU	Ne fonctionne PAS avec les AU
Réinitialisation de mot de passe des utilisateurs d’une AU
Gestion des licences des utilisateurs d’une AU
Accès au Centre d’administration Teams
Gestion des équipes Teams spécifiques
Attribution de politiques Teams à une AU
Restriction à certaines équipes dans l’admin Teams

Résumé : Le Centre d’administration Teams (admin.teams.microsoft.com) ne respecte pas les périmètres définis par les Unités d’Administration. Un administrateur délégué via une AU voit soit tout, soit rien — il n’y a pas de filtrage par AU dans Teams Admin Center.

Pourquoi cette limitation existe-t-elle ?

Teams Admin Center est construit sur le modèle RBAC (Role-Based Access Control) de Microsoft 365, qui est différent du modèle d’Unités d’Administration d’Entra ID. Les deux systèmes ne sont pas encore pleinement intégrés. Microsoft a été sollicité de nombreuses fois sur ce point via le portail de feedback, et c’est un sujet en attente d’évolution.

Alternatives pour déléguer l’administration Teams par pays/région

Alternative 1 : Rôles Teams scoped (avec Groups Scoped)

Depuis 2022-2023, Microsoft Teams supporte une forme de délégation scopée via l’affectation de rôles à des groupes de sécurité contenant les administrateurs concernés. Cela ne repose pas sur les AU mais permet d’approcher le résultat voulu.

Rôles disponibles dans Teams Admin Center pouvant être délégués :

Procédure d’attribution d’un rôle Teams à un groupe :

# Connexion à Microsoft Graph
Connect-MgGraph -Scopes "RoleManagement.ReadWrite.Directory"

# Récupérer l'ID du rôle "Administrateur des communications Teams"
$role = Get-MgDirectoryRole | Where-Object {$_.DisplayName -eq "Teams Communications Administrator"}

# Récupérer l'ID du groupe de sécurité des admins du pays X
$group = Get-MgGroup -Filter "displayName eq 'Admins-Teams-France'"

# Assigner le rôle au groupe
New-MgDirectoryRoleMember -DirectoryRoleId $role.Id -BodyParameter @{
    "@odata.id" = "https://graph.microsoft.com/v1.0/directoryObjects/$($group.Id)"
}

Alternative 2 : Stratégies Teams scopées par groupe

La délégation la plus fine disponible aujourd’hui dans Teams passe par les stratégies (Policies) appliquées à des groupes de sécurité distincts par pays. Un administrateur global crée les politiques, et les apply à des groupes définis.

# Connexion à Teams PowerShell
Connect-MicrosoftTeams

# Lister toutes les stratégies de messagerie existantes
Get-CsTeamsMessagingPolicy

# Créer une stratégie spécifique pour les utilisateurs d'un pays
New-CsTeamsMessagingPolicy -Identity "Politique-France" `
    -AllowUserChat $true `
    -AllowGiphy $false `
    -GiphyRatingType "Strict" `
    -AllowUserEditMessage $true `
    -AllowUserDeleteMessage $true

# Appliquer la stratégie à un groupe de sécurité (Group Policy Assignment)
New-CsGroupPolicyAssignment -GroupId "groupe-id-utilisateurs-france" `
    -PolicyType TeamsMessagingPolicy `
    -PolicyName "Politique-France" `
    -Rank 1

Alternative 3 : Microsoft 365 Groups Management avec au niveau des équipes

Si l’objectif est de limiter quelles équipes Teams un administrateur délégué peut gérer, une approche est de créer des groupes de gestion dédiés et d’utiliser les paramètres de propriétaire de groupe Microsoft 365 :

1. Chaque équipe Teams est associée à un groupe Microsoft 365
2. Le propriétaire du groupe Microsoft 365 peut gérer l’appartenance à l’équipe
3. Un administrateur pays peut être propriétaire uniquement des groupes Microsoft 365 correspondant aux équipes de son pays

# Ajouter un utilisateur comme propriétaire d'un groupe Microsoft 365 spécifique
Connect-MgGraph -Scopes "Group.ReadWrite.All"

$groupId = "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"  # ID du groupe Teams France
$userId = "yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy"   # ID de l'admin France

New-MgGroupOwner -GroupId $groupId -BodyParameter @{
    "@odata.id" = "https://graph.microsoft.com/v1.0/users/$userId"
}

Alternative 4 : Portail d’auto-service Microsoft Entra

Pour les tâches de gestion des utilisateurs (réinitialisation de mot de passe, gestion des groupes), les Unités d’Administration fonctionnent bien dans le portail Entra ID (entra.microsoft.com). Il est possible d’y donner aux administrateurs pays l’accès à la gestion de leurs utilisateurs sans passer par Teams Admin Center.

Feuille de route et feedback Microsoft

Microsoft est conscient de cette limitation. Vous pouvez :

1. Voter pour la fonctionnalité sur le portail de feedback Microsoft : feedbackportal.microsoft.com — recherchez “Administrative Units Teams”
2. Suivre le Microsoft 365 Roadmap : microsoft.com/en-us/microsoft-365/roadmap pour des annonces sur l’intégration AU dans Teams

Résumé de l’approche recommandée

Pour donner aux administrateurs d’un pays spécifique l’accès uniquement à certaines équipes via le site d’administration Teams, la meilleure combinaison actuelle est :

1. Créer des groupes de sécurité par pays dans Entra ID (ex: Admins-Teams-France, Admins-Teams-Allemagne)
2. Attribuer des rôles Teams limités (ex: Spécialiste support communications) à ces groupes via PowerShell
3. Déléguer la propriété des groupes Microsoft 365 des équipes Teams concernées aux admins pays — ils peuvent ainsi gérer les membres sans avoir accès aux paramètres globaux
4. Utiliser les stratégies scopées par groupe pour appliquer des configurations spécifiques par pays sans accès admin global

Cette combinaison, bien que moins élégante que les Unités d’Administration, offre une sécurité et une granularité satisfaisantes en attendant que Microsoft améliore l’intégration AU-Teams.

N’hésitez pas à préciser votre architecture (combien de pays, combien d’équipes Teams, quel type d’actions les admins pays doivent pouvoir effectuer) pour affiner les recommandations.

Ayi NEDJIMI — Consultant IT & Microsoft 365 / Teams
Pour une architecture de délégation d’administration Teams adaptée à votre organisation : ayinedjimi-consultants.fr